image

Staatssecretaris: lastig te achterhalen wie erachter ddos-aanvallen zitten

dinsdag 6 mei 2025, 16:17 door Redactie, 11 reacties

Het is lastig om te achterhalen wie erachter ddos-aanvallen zitten, zo stelt staatssecretaris Szabo voor Digitalisering. Daarnaast is de impact van dit soort aanvallen vaak beperkt en symbolisch van aard. De bewindsman reageerde op Kamervragen over ddos-aanvallen die onlangs tegen websites van de Belgische overheid werden uitgevoerd. Volt-Kamerlid Koekkoek wilde opheldering van de staatssecretaris.

Het Belgische Centrum voor Cybersecurity had gesteld dat dergelijke ddos-aanvallen ongevaarlijk zijn en Szabo is het daarmee eens. "De impact van een ddos-aanval is vaak beperkt en symbolisch van aard." Koekkoek wilde ook weten of onderzocht is wie voor ddos-aanvallen verantwoordelijk zijn, zoals de recente aanvallen op DigiD. "Doorgaans is het vanwege de aard van ddos-aanvallen lastig om te achterhalen wie achter een aanval zit", reageert de staatssecretaris.

Volgens de bewindsman zijn ddos-aanvallen uit te voeren door zowel statelijke als niet-statelijke actoren. "Deze actoren gebruiken diverse middelen en technieken om hun identiteit te verbergen. Dit doen zij onder andere met ip-spoofing, botnets of door middel van reflectie-aanvallen. Daarnaast kunnen kwaadwillenden gebruikmaken van betaalde ddos-diensten, zogenaamde Booters."

In het geval van de ddos-aanvallen op DigiD worden die per incident onderzocht en worden, waar mogelijk, aanvullende maatregelen genomen, aldus Szabo. Die voegt toe dat het NCSC ook onderzoek doet naar ddos-aanvallen in algemene zin, om zo meer inzicht te krijgen over technieken en slachtoffers. Het NCSC doet daarbij niet aan attributie, oftewel het aanwijzen van mogelijke daders.

Reacties (11)
06-05-2025, 17:03 door Named
Spoofing en (veel) reflectie aanvallen zijn dicht te timmeren door gewoon (ingress) filtering toe te passen.
En als er nog een rogue AS is die dat stiekem niet doet, dan is dat gewoon op te sporen.

Botnets zijn iets lastiger te voorkomen, maar deze zijn juist zo'n probleem geworden omdat ze niet worden aangepakt. Veelal word er niks aan de individuele bots gedaan omdat dat zinloos word geacht. Echter zou dat wel aangepakt moeten worden, omdat het infrastructuur is van de aanvaller. Als je het aantal bots van 10 miljoen naar 10 duizend terug brengt, dan is zo'n DDoS al een heel stuk makkelijker mee te dealen.

Een rijtje stappen zouden zomaar kunnen zijn:
1. Verifiëren: Zorg ervoor dat je zeker bent waar de DoS pakketjes vandaan komen.
2. Informeren: Informeer de andere kant over de DDoS situatie en hun rol hierin.
3. Adviseren: Geef de andere kant advies en wijs naar hulpbronnen om het op te lossen.
4. Aanmanen: Word er niks opgelost, waarschuw voor juridische gevolgen en betrek hun upstream.
5. Afsluiten: Gebeurt er nog steeds niks, vraag dan hun upstream om stappen te nemen.
6. Aanklagen: Neem juridische stappen, en/of betrek de upstream's upstream en de betreffende LIR/RIR's.
06-05-2025, 17:52 door Anoniem
Dan het het de taak aan de sleepwet om social media af te speuren naar tekenen van de daders die erover praten.
Maar daar gebruiken ze de sleepwet niet voor...
06-05-2025, 20:47 door Anoniem
@Named, je begrijpt het gewoon niet.

Als een software lek of kwetsbaarheid een DDoS mogelijk maakt (bijvoorbeeld mijn security camera's) wat wil je dan daar tegen doen dan? Je kunt mij daarvoor niet verantwoordelijk houden als de fabrikant heeft gefaald, maar misschien wel de software fabrikant die niet met een patch aan kwam zetten. En dan nog is de vraag niet beantwoord wie daar precies voor gaat opdraaien (proef: rechtszaken). Vraag je je wel eens af hoe lang het gemiddeld duurt om je recht te halen in dit land? Intussen komt de volgende aanvallende partij aanzetten. Op die manier is het gewoon dweilen met de kraan open.

Je hoeft bovendien helemaal niet te weten waar die pakketjes vandaan komen. Het gaat eerder om een goede beveiliging op te zetten waardoor DDoS geen greep krijgt op je systemen en de boel plat ligt.

Hieronder een stukje uit Cloudflare.

Web application firewall (WAF): A WAF helps block attacks by using customizable policies to filter, inspect, and block malicious HTTP traffic between web applications and the Internet. With a WAF, organizations can enforce a positive and negative security model that controls incoming traffic from specific locations and IP addresses.
Always-on DDoS mitigation: A DDoS mitigation provider can help prevent DDoS attacks by continuously analyzing network traffic, implementing policy changes in response to emerging attack patterns, and providing an expansive and reliable network of data centers. When evaluating cloud-based DDoS mitigation services, look for a provider that offers adaptive, scalable, and always-on threat protection against sophisticated and volumetric attacks.
https://www.cloudflare.com/learning/ddos/how-to-prevent-ddos-attacks/
07-05-2025, 08:41 door Anoniem
Informeren: Informeer de andere kant over de DDoS situatie en hun rol hierin.

Ga je dan bijvoorbeeld 100.000 verschillende abuse desks een klacht sturen ?
07-05-2025, 09:31 door Named
Door Anoniem: @Named, je begrijpt het gewoon niet.

Als een software lek of kwetsbaarheid een DDoS mogelijk maakt (bijvoorbeeld mijn security camera's) wat wil je dan daar tegen doen dan? Je kunt mij daarvoor niet verantwoordelijk houden als de fabrikant heeft gefaald, maar misschien wel de software fabrikant die niet met een patch aan kwam zetten.
Jij kan daar dus WEL voor opdraaien. Als jij bewust de aanvallers vanaf jouw netwerk laat aanvallen, dan ben je aansprakelijk voor een deel van de aanval. (Net als het ontdekken of geïnformeerd worden dat jouw huurder een drugslab heeft opgezet, niks doen is strafbaar.) En de fabrikant is strafbaar bezig als ze van het lek afwisten binnen de support periode en geen fix uitbrachten.

Vraag je je wel eens af hoe lang het gemiddeld duurt om je recht te halen in dit land? Intussen komt de volgende aanvallende partij aanzetten. Op die manier is het gewoon dweilen met de kraan open.
Dit proces kan je grotendeels automatiseren, zeker als internet providers ook meewerken om onze infrastructuur veilig te houden. Juridisch hoeft dit proces maar één keer grondig doorlopen te worden, want dan is er jurisprudentie voor het aanklacht template, en zullen de volgende rechtszaken, tenzij er bezwaar is, sneller afgehandeld kunnen worden.

Je hoeft bovendien helemaal niet te weten waar die pakketjes vandaan komen. Het gaat eerder om een goede beveiliging op te zetten waardoor DDoS geen greep krijgt op je systemen en de boel plat ligt. Hieronder een stukje uit Cloudflare.<SNIP>
Ik zeg helemaal niet dat je geen WAF/Wasstraat nodig hebt, ik zeg alleen dat je naast de passieve middelen ook actief moet reageren. Dat wil zeggen, spoofing en reflectie aanvallen onmogelijk maken, Botnets uitschakelen en mensen bewust maken van de schade die hun smart lampen veroorzaken. Want als je dat niet doet, word de situatie er enkel maar slechter op, totdat jouw passieve middelen mogelijk ineens niet meer toereikend zijn!
07-05-2025, 09:44 door Named - Bijgewerkt: 07-05-2025, 10:20
Door Anoniem:
Informeren: Informeer de andere kant over de DDoS situatie en hun rol hierin.
Ga je dan bijvoorbeeld 100.000 verschillende abuse desks een klacht sturen ?
Ehm, Ja? Wel geautomatiseerd natuurlijk! En ook enkel zodra het meerdere keren gebeurt.
Idealiter bestaat er hiervoor ook een standaard zodat het ook automatisch te verwerken is.

Edit: Je mag het van mij extreem vinden, maar ik denk dat als men niet bewust word van en verantwoordelijkheid neemt voor gehackte en misbruikte (IoT) apparaten, we als maatschappij er op achteruit gaan. Er moet een infrastructuur komen om de eigenaar van gehackte apparaten te informeren, zowel voor de veiligheid van het internet als de veiligheid van de eigenaar zelve. (Een 0-day op lokaal netwerk kan bijvoorbeeld pijnlijk uitpakken.)
07-05-2025, 10:18 door Anoniem
AI bots zwerven over Internet met hun data gegraai. Dit zorgt voor nieuwe fenomenen waaronder rijzende prijzen voor enorme toename aan dataverkeer bij houders van websites, DDOS fenomeen omdat AI zoveel aanvragen doet op een ip adres dat echte aanvragen er amper doorheen komen.
07-05-2025, 10:42 door Anoniem
AI is inderdaad een duidelijk tweesnijdend zwaard aan het worden.

Ook hier: https://www.scworld.com/perspective/how-ai-has-changed-the-ddos-industry

Proactieve AI-verdedigingsstrategieën zijn nu nog een optie.

Als alles AI is, maakt het ook niet meer uit verder ;)

#luntrus
07-05-2025, 14:13 door Anoniem
Jij kan daar dus WEL voor opdraaien. Als jij bewust de aanvallers vanaf jouw netwerk laat aanvallen, dan ben je aansprakelijk voor een deel van de aanval. (Net als het ontdekken of geïnformeerd worden dat jouw huurder een drugslab heeft opgezet, niks doen is strafbaar.) En de fabrikant is strafbaar bezig als ze van het lek afwisten binnen de support periode en geen fix uitbrachten.

Het is zelden "bewust". Het is niet alsof je bewust deel uitmaakt van een botnet door een malwarebesmetting, of bewust kwetsbare hardware hebt met een zero-day die misbruikt wordt. Wanneer het wel bewust is, heb je gelijk. In meer dan 99% van de gevallen bij een DDoS-aanval is het echter onbewust.

Daarnaast is er geen verplichting om überhaupt te begrijpen wat malware is, wat een zero-day inhoudt, welke impact dit kan hebben op je computer, of hoe je onbewust onderdeel kunt worden van een DDoS-aanval. Veel mensen hebben geen idee wat dit eigenlijk betekent.
07-05-2025, 16:03 door Named
Door Anoniem:Het is zelden "bewust". Het is niet alsof je bewust deel uitmaakt van een botnet door een malwarebesmetting, of bewust kwetsbare hardware hebt met een zero-day die misbruikt wordt. Wanneer het wel bewust is, heb je gelijk. In meer dan 99% van de gevallen bij een DDoS-aanval is het echter onbewust.
Daarom ga je dus niet direct aanklagen, maar laat je de eerste keer weten dat er iets aan de hand is. Pas zodra je de gebruiker geïnformeerd hebt en deze een kans heeft gehad om actie te ondernemen is hij verantwoordelijk te houden voor zijn aandeel in de DDoS.
Daarnaast is er geen verplichting om überhaupt te begrijpen wat malware is, wat een zero-day inhoudt, welke impact dit kan hebben op je computer, of hoe je onbewust onderdeel kunt worden van een DDoS-aanval. Veel mensen hebben geen idee wat dit eigenlijk betekent.
Daarom leg je ook uit wat het probleem inhoud, wat de gevolgen zijn en hoe ze het kunnen oplossen of er hulp bij kunnen krijgen/zoeken. Het zou ook handig zijn om de ISP van de gebruiker erbij te betrekken zodat die kan helpen als dat nodig is. Mocht het na de eerste melding niet zijn opgelost, dan waarschuw je opnieuw en laat je weten welke juridische gevolgen er zijn als zij niet hun verplichtingen nakomen.
Vanaf dit punt word het bewuste nalatigheid, waardoor ze aansprakelijk kunnen worden gehouden. De derde keer dat het gebeurt kan je dan tot juridische actie over te gaan. (Ervan uitgaande dat hier voldoende tijd tussen zit om het probleem op te lossen.)
07-05-2025, 21:11 door Anoniem
Daarom is het fijn als je in een browser een alert krijgt als een bepaalde verbinding te veel verbruik gaat vragen.

Dit gebeurt al in de Brave-browser.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.